Ρύθμιση SSO federation
Το single sign-on (SSO) federation επιτρέπει στους χρήστες σας να συνδεθούν στο VaultPAM χρησιμοποιώντας τον υπάρχοντα πάροχο ταυτότητας (IdP). Το VaultPAM δρομολογεί το SSO μέσω Keycloak, και ο upstream provider ρυθμίζεται εκεί. Το VaultPAM δεν χρησιμοποιεί ανεβάσματα μεταδεδομένων SAML για αυτή τη ροή.
Προαπαιτούμενα
- VaultPAM: Ρόλος Org Admin
- Identity provider: Πρόσβαση διαχειριστή στον μισθωτή Entra ID ή την οργάνωση Okta
- Keycloak: Πρόσβαση στο realm που διαμεσολαβεί την σύνδεση για το περιβάλλον σας
- Πρωτόκολλο: OIDC / OAuth 2.0 υποστηριζόμενα από τον IdP και Keycloak σας
Microsoft Entra ID (Azure AD)
Αυτή η διαδικασία χρησιμοποιεί OIDC μέσω Keycloak. Δημιουργήστε μια εγγραφή εφαρμογής OAuth 2.0 στο Azure, όχι μια εφαρμογή enterprise SAML.
- Στο Azure portal, μεταβείτε στο Entra ID > App registrations > New registration.
- Ονομάστε την εφαρμογή VaultPAM, επιλέξτε τον τύπο λογαριασμού που ταιριάζει με το όριό του μισθωτή σας και καταχωρήστε την.
- Προσθέστε το Keycloak broker redirect URI για το περιβάλλον σας. Χρησιμοποιήστε το callback URL για το realm και τον provider, για παράδειγμα
https://keycloak.<env>.euwarden.com/realms/<realm>/broker/<provider>/endpoint. - Δημιουργήστε ένα client secret και καταγράψτε το Application (client) ID, το Directory (tenant) ID και την τιμή του client secret.
- Στη Keycloak admin console, ανοίξτε το realm που διαμεσολαβεί την σύνδεση για το περιβάλλον σας και προσθέστε ή ενημερώστε τον πάροχο ταυτότητας Microsoft OIDC με το Azure issuer ή discovery URL, το client ID, το client secret και τον περιορισμό μισθωτή.
- Αποθηκεύστε τη ρύθμιση IdP και δοκιμάστε την σύνδεση από τη σελίδα σύνδεσης VaultPAM.
- Επιβεβαιώστε ότι η σύνδεση ολοκληρώνεται και ο χρήστης προσγειώνεται στο VaultPAM μετά την ανακατεύθυνση Keycloak.
Κατάσταση επιτυχίας: Οι χρήστες από τον επιτρεπόμενο μισθωτή Entra ID μπορούν να συνδεθούν στο VaultPAM μέσω Keycloak με τα διαπιστευτήρια Microsoft.
Okta
Αυτή η διαδικασία χρησιμοποιεί επίσης OIDC μέσω Keycloak. Δημιουργήστε μια ολοκλήρωση εφαρμογής OIDC στο Okta, όχι μια ολοκλήρωση SAML.
- Στο Okta Admin Console, μεταβείτε στο Applications > Applications > Create App Integration.
- Επιλέξτε OIDC - OpenID Connect, επιλέξτε Web Application και κάντε κλικ στο Next.
- Ονομάστε την εφαρμογή VaultPAM και προσθέστε το Keycloak broker redirect URI για το περιβάλλον σας.
- Καταγράψτε το Client ID, το Client Secret και το issuer URL που εμφανίζει το Okta.
- Στη Keycloak admin console, προσθέστε ή ενημερώστε τον πάροχο ταυτότητας Okta OIDC με αυτές τις τιμές και τυχόν απαιτούμενους περιορισμούς κατακόρυφης ή τομέα.
- Αποθηκεύστε τη ρύθμιση IdP και δοκιμάστε την σύνδεση από τη σελίδα σύνδεσης VaultPAM.
Κατάσταση επιτυχίας: Οι ανατεθειμένοι χρήστες Okta μπορούν να συνδεθούν στο VaultPAM μέσω Keycloak και το Audit Log καταγράφει την περίοδο σύνδεσης με έλεγχο ταυτότητας SSO.
Εάν οι χρήστες λάβουν σφάλμα ταυτοποίησης ή ανακατευθυνθούν στη σελίδα σύνδεσης, δείτε SSO login failing για κοινές αιτίες και διορθώσεις.